Утвержден и введен в действие
Приказом Федерального агентства
по техническому регулированию
и метрологии
от 24 мая 2018 г. N 273-ст
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ
МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
ДЕТАЛИЗАЦИЯ АНАЛИЗА УЯЗВИМОСТЕЙ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
В СООТВЕТСТВИИ С ГОСТ Р ИСО/МЭК 15408 И ГОСТ Р ИСО/МЭК 18045
ЧАСТЬ 1
ИСПОЛЬЗОВАНИЕ ДОСТУПНЫХ ИСТОЧНИКОВ
ДЛЯ ИДЕНТИФИКАЦИИ ПОТЕНЦИАЛЬНЫХ УЯЗВИМОСТЕЙ
Information technology. Security techniques. Refining
software vulnerability analysis under GOST R ISO/IEC 15408
and GOST R ISO/IEC 18045. Part 1. Using of available
information for identification of potential vulnerabilities
(ISO/IEC TR 20004:2015, NEQ)
ГОСТ Р 58142-2018
ОКС 35.020
Дата введения
1 ноября 2018 года
Предисловие
1 РАЗРАБОТАН Обществом с ограниченной ответственностью "Центр безопасности информации" (ООО "ЦБИ")
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 362 "Защита информации"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 24 мая 2018 г. N 273-ст
4 Настоящий стандарт разработан с учетом основных нормативных положений международного стандарта ISO/IEC TR 20004:2015 "Информационная технология. Методы и средства обеспечения безопасности. Детализация анализа уязвимостей программного обеспечения в соответствии с ИСО/МЭК 15408 и ИСО/МЭК 18045" (ISO/IEC TR 20004:2015 "Information technology - Security techniques - Refining software vulnerability analysis under ISO/IEC 15408 and ISO/IEC 18045", NEQ)
5 ВВЕДЕН ВПЕРВЫЕ
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Введение
Настоящий стандарт входит в комплекс стандартов, устанавливающих детализацию анализа уязвимостей программного обеспечения в части использования доступных источников для идентификации потенциальных уязвимостей и тестирования проникновения.
Настоящий стандарт уточняет и детализирует действия оценщика (испытательной лаборатории), изложенные в ГОСТ Р ИСО/МЭК 18045, выполняемые при анализе уязвимостей. Стандарт предназначен для совместного использования или в дополнение к ГОСТ Р ИСО/МЭК 18045. Уточнение, детализация и руководства, представленные в настоящем стандарте, не предназначены для выполнения всех требований, предъявляемых семейством AVA_VAN ГОСТ Р ИСО/МЭК 18045, и не ограничивают деятельность, осуществляемую оценщиком, но обеспечивают согласованность посредством детализации минимальных базовых действий оценки выполнения требований семейства AVA_VAN.
Настоящий стандарт распространяется на деятельность оценщиков (испытательных лабораторий), использующих ГОСТ Р ИСО/МЭК 18045, экспертов органов по сертификации, проверяющих выполнение шагов оценивания, а также заявителей на сертификацию, разработчиков средств защиты информации и программного обеспечения и другие группы пользователей, участвующих в процессе оценки средств защиты информации и программного обеспечения по требованиям безопасности информации.
1 Область применения
Настоящий стандарт уточняет действия оценщика, определенные семейством доверия AVA_VAN ГОСТ Р ИСО/МЭК 18045, и представляет детализированное руководство по идентификации актуальных потенциальных уязвимостей при проведении оценки объекта оценки в соответствии с ГОСТ Р ИСО/МЭК 15408. В настоящем стандарте используется классификация уязвимостей в соответствии с ГОСТ Р 56546 и описание уязвимостей в соответствии с ГОСТ Р 56545.
2 Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ Р ИСО/МЭК 15408-3 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности
ГОСТ Р ИСО/МЭК 18045 Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий
ГОСТ Р 56545 Защита информации. Уязвимости информационных систем. Правила описания уязвимостей
ГОСТ Р 56546 Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем
ГОСТ Р 58143-2018 Информационная технология. Методы и средства обеспечения безопасности. Детализация анализа уязвимостей программного обеспечения в соответствии с ГОСТ Р ИСО/МЭК 15408 и ГОСТ Р ИСО/МЭК 18045. Часть 2. Тестирование проникновения
Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого документа с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.
3 Термины и определения
В настоящем стандарте применены следующие термины с соответствующими определениями:
3.1 верифицировать: Провести строгую детальную проверку с независимым определением ее достаточности.
Примечание - См. также термин "подтвердить". Термин "верифицировать" имеет более глубокий смысл. Он используется в контексте действий оценщика, когда требуются независимые усилия оценщика.
3.2 подтвердить: Декларировать, что что-то детально проверено с независимым определением достаточности.
Примечание - Требуемый уровень строгости зависит от типа рассматриваемого предмета. Данный термин применим только к действиям оценщика.
3.3 делать заключение: Подтвердить некоторое заключение, основанное на независимом анализе для достижения этого заключения.
Примечание - Использование данного термина подразумевает выполнение действительно независимого анализа, обычно в условиях отсутствия какого бы то ни было предшествующего анализа. Термин "делать заключение" отличается от терминов "подтвердить" или "верифицировать", которые предполагают необходимость проверки ранее выполненного анализа.
3.4 выбор: Выделение одного или нескольких пунктов из перечня в компоненте требований.
3.5 объект оценки: Совокупность программного, программно-аппаратного и/или аппаратного обеспечения, сопровождаемая руководствами.
Для просмотра документа целиком скачайте его >>>